收藏
下载资源

ACL原理及配置实例

上传人:平*** 文档编号:46189078 上传时间:2018-06-23 格式:PPT 页数:53 大小:1.20MB
返回 下载 相关 举报
ACL原理及配置实例_第1页
第1页 / 共53页
ACL原理及配置实例_第2页
第2页 / 共53页
ACL原理及配置实例_第3页
第3页 / 共53页
ACL原理及配置实例_第4页
第4页 / 共53页
ACL原理及配置实例_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《ACL原理及配置实例》由会员分享,可在线阅读,更多相关《ACL原理及配置实例(53页珍藏版)》请在金锄头文库上搜索。

1、 上次回顾:广域网接口配置 配置PPP协议 PPP协议的验证方式本次内容(补充) 理解ACL的基本原理 会配置标准ACL 会配置扩展ACL 会配置ACL对网络进行控制 理解NAT 会配置NAPT2需求需求公网互联网用户对外信息 服务器员工上网信息 服务器需求需求1 1 作为公司网络管理员,当公司领导提出下列要求 时你该怎么办? 为了提高工作效率,不允许员工上班时间进行 QQ聊天、MSN聊天等,但需要保证正常的访问 Internet,以便查找资料了解客户及市场信息等 。 公司有一台服务器对外提供有关本公司的信息 服务,允许公网用户访问,但为了内部网络的安 全,不允许公网用户访问除信息服务器之外的

2、任 何内网节点。需求需求2 2访问控制列表访问控制列表(ACL)(ACL)ACLACL概述概述 基本基本ACLACL配置配置 扩展扩展ACLACL配置配置访问控制列表概述 访问控制列表(ACL)读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素 定义的规则7访问控制列表的工作原理 访问控制列表在接口应用的方向 访问控制列表的处理过程拒绝允许允许允许到达访问控制组接口的数据包匹配 第一条目的接口隐含的 拒绝 丢弃YYYYYYNNN匹配 下一条拒绝拒绝拒绝匹配 下一条8访问控制列表类型 标准访问控制列表 扩展访问

3、控制列表 命名访问控制列表 定时访问控制列表9标准访问控制列表配置3-1 创建ACL Router(config)#access-list access-list-number permit | deny source source-wildcard 删除ACL Router(config)# no access-list access-list-number允许数据包通过 应用了访问控制 列表的接口拒绝数据包通过10标准访问控制列表配置3-2 应用实例 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(conf

4、ig)# access-list 1 permit 192.168.2.2 0.0.0.0 允许192.168.1.0/24和主机192.168.2.2的流量通过 隐含的拒绝语句 Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255 关键字 host any11Host any Host 192.168.2.2=192.168.2.2 0.0.0.0 any=0.0.0.0 255.255.255.255R1(config)# access-list 1 deny 192.168.2.2 0.0.0.0 R1config)# ac

5、cess-list 1 permit 0.0.0.0 255.255.255.255 与 R1(config)# access-list 1 deny host 192.168.2.2 R1(config)# access-list 1 permit any 相同标准访问控制列表配置3-3 将ACL应用于接口 Router(config-if)# ip access-group access-list- number in |out 在接口上取消ACL的应用 Router(config-if)# no ip access-group access- list-number in |out13标

6、准访问控制列表配置实例实验 编号的标准IP访问列表。 【实验目的】 掌握路由器上编号的标准IP访问列表规则及配置。 【背景描述】 你是一个公司的网络管理员,公司的经理部、财务部 门和销售部门分属不同的3个网段,三部门之间用路 由器进行信息传递,为了安全起见,公司领导要求销 售部门不能对财务部门进行访问,但经理部可以对财 务部门进行访问。 PC1代表经理部的主机,PC2代表销售部门的主机、 PC3代表财务部门的主机。 【技术原理】 IP ACL(IP访问控制列表或IP访问列表)是实现对流 经路由器或交换机的数据包根据一定的规则进行过滤 ,从而提高网络可管理性和安全性。标准IP访问列表可以根据数据

7、包的源IP地址定义规则 ,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应 用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包 进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行 数据包的过滤。 IP ACL的配置有两种方式:按照编号的访问列表, 按照命名的访问列表。 标准IP访问列表编号范围是199、13001999,扩 展IP访问列表编号范围是100199、20002699。 【实现功能】 实现网段间互相访问的安全控制。 【实验设备】 RSR10路由器(两台)、V.35线缆(1条)、交叉 线(3条)【实验拓扑】 【实验步骤】 步骤1: Router1、

8、Router2 基本配置 IP地址等 步骤2:路由表 步骤3:访问控制列表 访问控制列表应用在接口 步骤4:测试 配置静态路由 Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2 Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2 测试命令:show ip route。 步骤2 配置标准IP访问控制列表。 Router2(config)

9、#access-list 1 permit 172.16.1.0 0.0.0.255! 允许来自172.16.1.0网段的流量通过 Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255! 拒绝来自172.16.2.0网段的流量通过验证测试: Router2#show access-lists 1 Standard IP access list 1 includes 2 items:deny 172.16.2.0, wildcard bits 0.0.0.255permit 172.16.1.0, wildcard bits 0.0.0.

10、255 步骤3 把访问控制列表在接口下应用。 Router2(config)# interface fastEthernet 1/0 Router2(config-if)#ip access-group 1 out ! 在 接口下访问控制列表出栈流量调用验证测试: Router2#show ip interface fastEthernet 1/0 步骤4. 验证测试。 ping(172.16.2.0网段的主机不能ping通 172.16.4.0网段的主机;172.16.1.0网段的主机能 ping通172.16.4.0网段的主机)。 【注意事项】1、注意在访问控制列表的网络掩码是反掩码。2、

11、标准控制列表要应用在尽量靠近目的地址的接 口。 【参考配置】 Router1#show running-config !查看路由器 1的全部配置扩展访问控制列表配置2-1 创建ACLRouter(config)# access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator operan 删除ACLRouter(config)# no access-list access-list-number 将ACL应用于接口Rou

12、ter(config-if)# ip access-group access-list-number in |out 在接口上取消ACL的应用Router(config-if)# no ip access-group access-list-number in |out27扩展访问控制列表配置2-2 应用实例1Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(config)# access-list 101 deny ip any any 应用实例2Route

13、r(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 21 Router(config)# access-list 101 permit ip any any 应用实例3Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo Router(config)# access-list 101 permit ip any any28 扩展扩展ACLACL的编号为的编号为100 1991

14、00 199,扩展,扩展ACLACL增强了标准增强了标准ACLACL 的功能的功能 增强增强ACLACL可以基于下列参数进行网络传输的过滤可以基于下列参数进行网络传输的过滤 pp目的地址目的地址 ppIPIP协议协议 可以使用协议的名字来设定检测的网络协议或可以使用协议的名字来设定检测的网络协议或 路由协议,例如:路由协议,例如:ICMPICMP、TCPTCP和和UDPUDP等等等等 ppTCP/IPTCP/IP协议族中的上层协议协议族中的上层协议 可以使用名称来表示上层协议,例如:可以使用名称来表示上层协议,例如:“ “ftp”ftp”或或 “ “www”www” 也可以使用操作符也可以使用

15、操作符eqeq、gtgt、lt lt和和neqneq (equal to, (equal to, greater than, less thangreater than, less than和和not equal to)not equal to)来处理部分来处理部分 协议协议 例如:希望允许除了例如:希望允许除了httphttp之外的所有通讯,其之外的所有通讯,其 语句是语句是permit permit tcptcp any any any any neqneq 80 80 请复习请复习TCPTCP和和UDPUDP的端口号的端口号 也可以使用名称来代替端口号,例如:使用也可以使用名称来代替端口号,例如:使用telnettelnet来来 代替端口号代替端口号2323端口号协议名称 20,21FTP 23Telnet 25SMTP 53DNS 69 80TFTP WWW端口号端口号放置扩展放置扩展ACLACL的正确位置的正确位置 在下图中,需要设定网络在下图中,需要设定网络221.23.123.0221.23.123.0中的所有节点不中的所有节点不 能访问地址为能访问地址为198.150.13.34198.150.13.34服务器服务器 在哪个路由器的哪个接口上放置在哪个路由器的哪个接口上放置ACL?ACL? pp在在Router CRouter C

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号